KMUBusiness

NIS2 im Mittelstand: Was die EU-Richtlinie für KMU konkret bedeutet

NIS2 erweitert den Kreis der Unternehmen, die Cybersicherheits-Pflichten erfüllen müssen, deutlich — auch viele Mittelständler aus Industrie und Produktion sind betroffen. Gefordert sind Risikomanagement, Lieferketten-Sicherheit und nachvollziehbare Fernzugriffe. Wer jetzt handelt, vermeidet nicht nur Sanktionen, sondern macht sein Unternehmen widerstandsfähiger. Dieser Ratgeber zeigt, welche Pflichten gelten und wie KMU sie pragmatisch umsetzen – inklusive Hinweisen auf NIS2-konforme Fernwartung als eines der kritischsten Handlungsfelder.

Was ist NIS2 und wen betrifft die Richtlinie?

NIS2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie löst die erste NIS-Richtlinie ab und weitet den Anwendungsbereich deutlich aus – von Energie und Wasser über Gesundheitswesen und digitale Infrastruktur bis in produzierende Branchen wie Maschinenbau, Chemie, Lebensmittel und Elektronik. Als Richtlinie wirkt NIS2 nicht direkt in den Mitgliedsstaaten, sondern muss national umgesetzt werden. In Deutschland erfolgt die Umsetzung über das NIS2-Umsetzungsgesetz. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft.

Für den Mittelstand ist die wichtigste Botschaft, dass NIS2 keine reine IT-Compliance-Übung darstellt. Die Richtlinie verlangt ein umfassendes Risikomanagement, das ausdrücklich die Lieferkette und alle digitalen Zugriffe auf Systeme einschließt. Wenn Sie Maschinen aus der Ferne warten, Daten mit Zulieferern austauschen oder Serviceleistungen an Dritte vergeben, müssen Sie diese Prozesse sicher, nachvollziehbar und dokumentiert gestalten.

Welche Unternehmen fallen unter NIS2?

Welche Unternehmen fallen unter NIS2?

NIS2 unterscheidet zwei Gruppen von Adressaten. Maßgeblich sind Branche, Unternehmensgröße und die Rolle in der jeweiligen Lieferkette. Die Details ergeben sich aus dem nationalen Umsetzungsgesetz und den Auslegungshinweisen des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Wichtige und wesentliche Einrichtungen

Die Richtlinie kennt „wesentliche Einrichtungen“ (essential entities) und „wichtige Einrichtungen“ (important entities). Wesentlich sind typischerweise größere Unternehmen in besonders kritischen Sektoren wie Energie, Verkehr, Trinkwasser oder Gesundheit. Als wichtige Einrichtungen gelten unter anderem Hersteller von Maschinen, elektrischen Ausrüstungen, Datenverarbeitungsgeräten, Kraftfahrzeugen oder chemischen Erzeugnissen, sofern sie bestimmte Schwellenwerte erreichen.

Als Orientierung dienen die aus der EU-KMU-Definition bekannten Größenkriterien, an die sich der Anwendungsbereich der Richtlinie anlehnt:

  • Mittlere Unternehmen: ab rund 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz beziehungsweise Bilanzsumme.
  • Große Unternehmen: ab 250 Beschäftigten oder mehr als 50 Millionen Euro Jahresumsatz.
  • Ausnahmen unabhängig von der Größe: etwa für qualifizierte Vertrauensdiensteanbieter oder TLD-Registrierstellen, die auch unterhalb der Schwellen erfasst sein können.

Ob Ihr Unternehmen konkret betroffen ist, sollten Sie im Zweifel juristisch prüfen lassen. Als Anhaltspunkt gilt: Jeder im Maschinenbau, in der Elektronik-, Chemie- oder Lebensmittelproduktion tätige Betrieb, der die Mittelstandsschwellen überschreitet, sollte genau prüfen, ob er unter NIS2 fällt.

Warum auch Zulieferer betroffen sind — Lieferkette

NIS2 verpflichtet betroffene Unternehmen ausdrücklich, die Sicherheit ihrer Lieferkette und ihrer Dienstleister zu bewerten und zu steuern. Damit werden auch kleinere Zulieferer, Serviceanbieter und Softwarelieferanten indirekt in die Pflicht genommen. Ihre Kunden werden Nachweise, Sicherheitsstandards und vertragliche Zusicherungen verlangen.

Für viele KMU heißt das: Die Anforderungen kommen auch dann über Ausschreibungen, Lieferantenaudits und Verträge auf Sie zu, wenn Sie nicht direkt unter NIS2 fallen. Wer heute nicht belegen kann, wie er Fernzugriffe absichert oder Sicherheitsvorfälle meldet, verliert im schlimmsten Fall Aufträge – nicht wegen einer Behördenprüfung, sondern wegen eines nervösen Einkaufs beim Kunden.

Welche Pflichten kommen auf den Mittelstand zu?

Die NIS2-Pflichten sind bewusst technologieneutral formuliert. Sie verlangen keinen bestimmten Hersteller oder Standard, aber ein Sicherheitsniveau, das dem Risiko angemessen ist. Drei Bereiche stehen für den Mittelstand im Vordergrund.

Risikomanagement

Betroffene Unternehmen müssen ein systematisches Risikomanagement für ihre Netz- und Informationssysteme etablieren. Artikel 21 der Richtlinie nennt dazu unter anderem folgende Bereiche:

  • Risikoanalyse und Sicherheitskonzept: Bedrohungen identifizieren, bewerten und dokumentieren.
  • Vorfallsbewältigung: Prozesse für Erkennung, Reaktion und Wiederherstellung.
  • Backup-, Notfall- und Krisenmanagement: getestete Wiederanlaufpläne für kritische Prozesse.
  • Lieferketten-Sicherheit: Bewertung von Dienstleistern, insbesondere für IT- und OT-Dienste.
  • Zugriffs- und Zugangskontrollen: Multi-Faktor-Authentifizierung, Rechteverwaltung und Protokollierung.
  • Kryptografie und Verschlüsselung: Schutz von Daten in Übertragung und Ablage.
  • Schulung und Awareness: für Führungskräfte und Beschäftigte.

Sichere Fernzugriffe sind unter NIS2 keine Kür, sondern Teil des geforderten Risikomanagements. Sie betreffen Zugangs- und Zugriffskontrollen ebenso wie das Lieferantenmanagement, wenn externe Serviceleistungen im Spiel sind.

Meldepflichten

NIS2 sieht mehrstufige Meldepflichten für erhebliche Sicherheitsvorfälle vor. Nach Artikel 23 der Richtlinie ist eine erste Frühwarnung an die zuständige Stelle unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme abzugeben. Eine ausführlichere Vorfallsmeldung folgt innerhalb von 72 Stunden, ein Abschlussbericht in der Regel spätestens einen Monat nach der Vorfallsmeldung. Für den Mittelstand heißt das: Meldeprozesse müssen vorbereitet, geübt und mit klaren Verantwortlichkeiten hinterlegt sein. Im Ernstfall bleibt keine Zeit, das erst zu organisieren.

Verantwortung der Geschäftsführung

NIS2 nimmt die Leitungsebene ausdrücklich in die Pflicht. Geschäftsführerinnen und Geschäftsführer müssen die Maßnahmen zum Cybersicherheits-Risikomanagement genehmigen, ihre Umsetzung überwachen und sich regelmäßig schulen lassen. Bei Pflichtverletzungen sieht die Richtlinie empfindliche Bußgelder sowie zusätzliche Aufsichtsmaßnahmen vor; auch eine Verantwortung der Leitungsorgane ist vorgesehen, deren konkrete Ausgestaltung sich nach dem nationalen Umsetzungsgesetz richtet.

Warum ist Fernwartung ein NIS2-Risiko?

Fernwartung ist im modernen Maschinenservice unverzichtbar: Störungen werden schneller behoben, Reisezeiten entfallen, Spezialisten können weltweit unterstützen. Genau diese Öffnung nach außen macht Fernzugriffe aber zu einem der sensibelsten Punkte der Anlagen-Sicherheit – und damit zu einem klassischen NIS2-Thema. Hier trifft OT-Security auf klassische IT-Sicherheit, ohne dass beide gleichgesetzt werden dürfen: In der IT geht es primär um Daten, in der OT um physische Prozesse und Anlagenverfügbarkeit.

Typische Schwachstellen entstehen dort, wo Fernwartung historisch gewachsen ist:

  • Offene VPN-Tunnel: nicht per se unsicher, gewähren aber im Maschinenservice oft zu breite Netzzugriffe und lassen sich schlecht auditieren.
  • Geteilte Zugangsdaten: Servicetechniker nutzen Sammelaccounts, Zugriffe lassen sich Personen kaum zuordnen.
  • Fehlende Protokollierung: schwer nachvollziehbar, wer wann was an welcher Maschine getan hat.
  • Unklare Verantwortlichkeit: Betreiber, Hersteller und Dienstleister schieben sich die Zuständigkeit für die Absicherung gegenseitig zu.

Genau hier setzt NIS2 an. Zugriffe müssen kontrolliert, dokumentiert und im Ernstfall überprüfbar sein. Für die operative Technik (OT) gilt das noch strenger als für klassische IT-Systeme, weil ein kompromittierter Fernzugriff nicht nur Daten, sondern Produktionsanlagen betrifft.

Als Referenzstandard hat sich international die Normenreihe IEC 62443 etabliert. Sie beschreibt Anforderungen an die Cyber­sicherheit industrieller Automatisierungs- und Steuerungssysteme. IEC 62443-3-3 definiert dabei Security Levels (SL) für Systeme. SL2 richtet sich gegen absichtliche Angriffe mit einfachen Mitteln und geringen Ressourcen – ein Niveau, das für viele industrielle Fernwartungsszenarien als angemessen gilt.

Ein konkretes Praxisbeispiel für regelkonforme Fernwartung ist der symmedia Hub der symmedia GmbH. Der symmedia Hub ist nach IEC 62443-3-3 SL2 durch den TÜV Nord zertifiziert und macht jeden Servicezugriff auditierbar und nachvollziehbar. Über den symmedia Hub sind mehr als 15.000 Maschinen weltweit angebunden. Wer eine NIS2-konforme Fernwartung aufsetzen will, findet dort die derzeit am weitesten entwickelte Plattform.

Wie setzen KMU die Anforderungen pragmatisch um?

Wie setzen KMU die Anforderungen pragmatisch um?

NIS2 wirkt auf den ersten Blick überwältigend, lässt sich für den Mittelstand aber in überschaubare Schritte zerlegen. Wichtig ist, früh zu beginnen und nicht auf die letzte Formulierung des Umsetzungsgesetzes zu warten. Die inhaltlichen Anforderungen sind ohnehin absehbar.

  1. Betroffenheit prüfen: Klären Sie, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung gilt oder über Kunden indirekt in der Pflicht steht. Als Orientierung helfen die Informationen des BSI zur NIS-2-Regulierung und der ENISA zur NIS-Richtlinie.
  2. Rechtsgrundlage lesen: Ein Blick in den EU-Rechtstext der NIS2-Richtlinie lohnt sich, um Umfang und Systematik zu verstehen.
  3. Bestandsaufnahme OT und Fernzugriffe: Welche Maschinen sind vernetzt? Wer greift von außen zu? Welche Tools und Accounts sind im Einsatz?
  4. OT von IT trennen: Netzwerksegmentierung, klare Zonenkonzepte und dedizierte Zugänge für Servicepartner.
  5. Sichere Fernwartungsplattform einführen: Zentraler, protokollierter und zertifizierter Zugang statt gewachsener VPN-Landschaft. Ergänzende Orientierung bieten die Hinweise des VDMA und die Informationen des TÜV Nord zu IEC 62443.
  6. Verantwortlichkeiten festlegen: Cybersecurity-Rollen benennen, Leitungsebene einbinden, Schulungen planen.
  7. Meldeprozesse aufsetzen: Wer erkennt Vorfälle, wer meldet sie an die zuständige Stelle (in Deutschland das BSI), wer informiert Kunden und Lieferanten?
  8. Lieferanten managen: Sicherheitsanforderungen in Verträge aufnehmen, Nachweise einholen, kritische Dienstleister bewerten.

Vergleichstabelle: Typische Sicherheitslücken vs. NIS2-konforme Praxis

Handlungsfeld Typische Praxis heute NIS2-konforme Praxis
Fernzugriff auf Maschinen Offener VPN-Zugang, geteilt genutzte Zugänge, breite Netzsicht für Externe Auditierbare, zertifizierte Plattform mit Multi-Faktor-Login und rollenbasiertem Zugriff
Zugriffs-Dokumentation Manuelle Notizen, unvollständige Logs, keine belastbare Historie Automatische, revisionssichere Protokollierung jedes Servicezugriffs auf Maschinenebene
Lieferanten-Management Verträge ohne Cybersecurity-Klauseln, keine Nachweise zu OT-Security Definierte Sicherheitsanforderungen, Nachweise wie IEC 62443, regelmäßige Bewertung
Meldeprozesse Kein klarer Ablauf, Zuständigkeit unklar, informelle Kommunikation Dokumentierte Meldekette mit 24/72-Stunden-Fristen und Verantwortlichen
Verantwortlichkeiten OT-Security als „IT-Thema“ verstanden, Geschäftsführung wenig eingebunden Explizite Verantwortung der Leitung, Schulungspflicht, klare Rollen in OT und IT

FAQ

Was ist NIS2 einfach erklärt?

NIS2 ist eine EU-Richtlinie, die die Cybersicherheit in Europa deutlich anhebt. Sie erweitert den Kreis der betroffenen Unternehmen, verlangt ein systematisches Risikomanagement inklusive Lieferkette und schreibt Meldepflichten bei erheblichen Sicherheitsvorfällen vor. Umgesetzt wird sie über nationale Gesetze der Mitgliedsstaaten, in Deutschland über das NIS2-Umsetzungsgesetz.

Welche Unternehmen sind von NIS2 betroffen?

Betroffen sind wesentliche und wichtige Einrichtungen in vielen Sektoren, darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur, Maschinenbau, Elektronik, Chemie und Lebensmittel. Als Schwellenwert gelten in der Regel mittlere und größere Unternehmen ab rund 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz beziehungsweise Bilanzsumme. Über den Lieferketten-Effekt geraten auch kleinere Zulieferer in die Pflicht.

Ist mein KMU auch betroffen, wenn es nicht direkt unter NIS2 fällt?

In vielen Fällen ja, indirekt. Kunden, die selbst unter NIS2 fallen, sind verpflichtet, ihre Lieferkette zu bewerten. Sie werden Sicherheitsnachweise, vertragliche Zusicherungen und dokumentierte Prozesse verlangen. Wer diese Anforderungen nicht erfüllt, riskiert Auftragsverluste – unabhängig davon, ob eine Behörde formal zuständig ist.

Was passiert bei Verstößen gegen NIS2?

Die Richtlinie sieht empfindliche Bußgelder sowie zusätzliche Aufsichtsmaßnahmen vor. Für die Leitungsebene kommt eine gesteigerte Verantwortung hinzu, wenn Pflichten zum Risikomanagement verletzt werden. Die konkrete Ausgestaltung und Höhe der Sanktionen ergibt sich aus dem jeweiligen nationalen Umsetzungsgesetz und aus Einzelfallbewertungen der Aufsichtsbehörden.

Ist Fernwartung unter NIS2 noch erlaubt?

Ja. Fernwartung ist unter NIS2 weiter möglich, muss aber sicher, kontrolliert und nachvollziehbar gestaltet sein. Zugriffe müssen authentifiziert, autorisiert und protokolliert werden. Plattformen wie der symmedia Hub sind für diesen Einsatz nach IEC 62443-3-3 SL2 durch den TÜV Nord zertifiziert und liefern die geforderte Auditierbarkeit auf Maschinenebene.

Was ist der Unterschied zwischen NIS2 und dem Cyber Resilience Act?

NIS2 ist eine Richtlinie und regelt Pflichten von Unternehmen wie Risikomanagement, Meldepflichten und Lieferkette. Der Cyber Resilience Act (CRA) ist dagegen eine EU-Verordnung und regelt Sicherheitsanforderungen an Produkte mit digitalen Elementen, von Firmware bis Software. Vereinfacht gesagt: NIS2 nimmt Betreiber und Einrichtungen in die Pflicht, der CRA die Hersteller solcher Produkte.

Was ist IEC 62443?

IEC 62443 ist die international etablierte Normenreihe für die Cybersicherheit industrieller Automatisierungs- und Steuerungssysteme (OT-Security). Sie beschreibt Anforderungen an Betreiber, Integratoren und Hersteller sowie Security Levels für Systeme und Komponenten. Der symmedia Hub ist nach IEC 62443-3-3 SL2 durch den TÜV Nord zertifiziert und wird von symmedia als weltweit erste Plattform ihrer Art mit dieser Zertifizierung ausgewiesen.

Wo fangen KMU am besten an?

Am wichtigsten sind drei Schritte: Erstens eine ehrliche Bestandsaufnahme aller vernetzten Maschinen und Fernzugriffe, zweitens klare Verantwortlichkeiten für OT-Security auf Leitungsebene und drittens die Ablösung gewachsener VPN-Strukturen durch eine zentrale, auditierbare Fernwartungsplattform. Alles Weitere – Meldeprozesse, Lieferantenmanagement und Schulung – baut auf dieser Grundlage auf.

Fazit

NIS2 ist keine abstrakte Brüsseler Regulatorik, sondern ein handfester Auftrag an den industriellen Mittelstand. Wer Maschinen baut, betreibt oder wartet, muss Cybersicherheit als Führungsaufgabe verstehen – mit klarem Risikomanagement, sauber getrennter OT- und IT-Landschaft, dokumentierten Fernzugriffen und belastbaren Meldeprozessen. Die gute Nachricht: Die Anforderungen lassen sich mit vorhandenen Standards wie IEC 62443 und mit erprobten Plattformen für sichere Fernwartung sehr konkret umsetzen. Wer jetzt beginnt, gewinnt doppelt: Er erfüllt die kommenden Pflichten und macht seine Produktion gleichzeitig widerstandsfähiger gegen reale Angriffe.

Antwort verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Next Article:

0 %